Inhaltsverzeichnis

Das Hauptproblem ist nun: So ein Abhörsystem soll zwar den laufenden Datenverkehr mitschneiden, kann aber nicht aktiv daran teilnehmen. Das heißt, es kann beispielsweise ein verloren gegangenes Datenpaket nicht noch einmal anfordern – was ja eigentlich Sinn und Zweck des Internet-Protokolls ist. Umgekehrt muss es aus dem ganzen Gewusel an – zum Teil mehrfach gesendeten – Datenpaketen, die da aus der Leitung plumpsen, die ursprüngliche Nachricht wieder zusammenbasteln. Das ist technisch nicht ganz einfach.

In unserem Fall – und ich denke, das wird immer so gemacht – wurde in einem Router ein sogenannter Spiegel-Port benutzt, auf den der gesamte Datenverkehr umgeleitet wurde. Dann musste herausgefiltert werden, was man sehen wollte – den ganzen Filesharing-Krempel beispielsweise nicht. Darüber kommt zwar eventuell verbotene Pornografie ins Land, aber dafür ist eine andere Dienststelle zuständig. Der gefilterte Datenstrom wurde dann nach Protokollen – also etwa SMTP für E-Mails oder HTTP für Webseiten – auf verschiedene Rechner aufgeteilt, die jeweils ein bestimmtes Protokoll dekodieren. Die Nachricht wurde gespeichert, die dazugehörigen Metadaten wie Betreffzeile, Sender und Empfänger nebst ihren IP-Adressen in eine Datenbank geschrieben.

Die zusätzliche Schwierigkeit besteht nun darin, diese IP-Adressen mit der Identität der Nutzer in Verbindung zu bringen. Das heißt, ich brauche zusätzlich noch die Login-Daten der Internet-Provider, und ich muss die exakte Zeit mitprotokollieren, zu der sich ein Nutzer eingeloggt hat. Dafür brauche ich aber eine sehr exakte Zeitsynchronisation, die es in diesem Land nicht gab. Dazu kam, dass die Login-Daten eine sehr schlechte Qualität hatten. Wir haben manche Logins gar nicht gesehen, einige dafür aber drei- bis viermal und Logouts bis zu 15-mal. Das führte regelmäßig dazu, dass der Server, der die Log-Protokolle verarbeiten sollte, nach ein bis zwei Tagen abgeraucht ist. Es hat mehr als drei Monate gedauert, bis wir das gefixt hatten.

Wobei wir einen Monat brauchten, bis der Hersteller überhaupt einsah, dass es sich tatsächlich um einen Fehler handelte. Der behauptete immer: Wir haben alles getestet, das funktioniert. Wenn es nicht funktioniert, liegt es an der schlechten Qualität der Daten. Das war exemplarisch: Erst den Fehler leugnen, dann war der Traffic schuld, und wenn das nicht weiterhalf, war es ein Bedienfehler des Kunden. Dann waren die Berater schuld, weil sie Unfug erzählten, dann der Projektleiter vor Ort, dann fingen wir wieder von vorn an.

Aber zurück zum Dekodieren: Das nächste Problem war, dass sämtliche Dekoder nur den ASCII-Zeichensatz verstanden, also nur lateinische Buchstaben. So etwas wie der internationale Zeichensatz UTF-8, der auch arabische Zeichen umfasst, war nicht vorgesehen. Man konnte also auf Arabisch nichts suchen. Ganz abgesehen davon, dass Suchen eh nur in den Metadaten möglich war – und nicht im Volltext. Das war ein Designfehler, den die arabischen Kunden allerdings auch im Pflichtenheft abgesegnet hatten. Das wollten sie natürlich später ändern – aber wir konnten ihnen das ausreden: Schließlich hatten sie dieses Feature ja nicht bezahlt. Aber ein echter Klopfer war das schon. Ich kann doch kein Überwachungssystem in den Nahen Osten ausliefern, in dem man nicht nach ara- bischen Zeichen suchen kann. Das sieht der Hersteller bis heute anderes: Steht nicht im Pflichtenheft, wird nicht gemacht, selbst schuld, lieber Kunde.

Trotzdem hätte man einiges intelligenter lösen können: Die Überwachungsdienste werden nicht etwa automatisch hochgefahren. Stattdessen muss jedes Mal, wenn so eine Maschine abstürzt, jemand hinfahren und sie per Hand wieder hochfahren. Das Problem dabei ist nur: Das Monitoring-Center steht auf militärischem Gelände. Da kann man nicht einfach so Tag und Nacht reinspazieren. Allein waren wir da drin zu keinem Zeitpunkt – als Ausländer wurden wir immer von einem militärischen Bewacher begleitet. Und der war halt nicht ständig verfügbar.